L’esercizio del diritto di accesso ai dati personali previsto dagli artt. 12 e 15 del GDPR nei confronti dei sistemi di intelligenza artificiale generativa sta producendo, in alcuni casi documentati, un risultato paradossale: la conformità formale alla norma accompagnata dall’impossibilità pratica di comprendere, verificare o contestare il trattamento effettuato.
Non si tratta di un malfunzionamento tecnico né di un singolo disservizio. È un modello procedurale ricorrente che solleva interrogativi sulla reale applicabilità del GDPR nel contesto delle grandi infrastrutture di intelligenza artificiale. Il problema non riguarda il funzionamento dei modelli, ma l’assetto organizzativo con cui le piattaforme rispondono alle richieste degli interessati.
Indice degli argomenti
Accesso ai dati Chatgpt secondo il Gdpr, il caso
L’autore a gennaio che ha esercitato una richiesta di accesso ai dati personali nei confronti di ChatGPT/OpenAI.
In risposta alla richiesta ex art. 15 GDPR, l’interessato ha ricevuto archivi di grandi dimensioni contenenti dati grezzi, privi di:
- indicazioni sulla logica del trattamento;
- criteri di selezione o ponderazione dei dati;
- spiegazioni sui processi decisionali automatizzati;
- nesso verificabile tra i dati forniti e l’effettivo utilizzo nei modelli.
Il GDPR non richiede la mera consegna di dati, ma significatività, comprensibilità e verificabilità, ossia esclusivamente:
- Finalità del trattamento.
- Categorie di dati trattati.
- Destinatari.
- Periodo di conservazione.
- Diritti dell’interessato.
- Diritto di reclamo.
- Origine dei dati.
- Processo decisionale automatizzato e logica utilizzata.
- Garanzie per trasferimenti extra-UE.
Queste informazioni devono essere obbligatoriamente fornite entro 30 giorni (60 in casi giustificati) e non sono state fornite né nel 2025 né nel 2026, né all’autore né a Wired. Quando tali requisiti mancano, il diritto risulta formalmente soddisfatto ma sostanzialmente svuotato.
Gestione automatizzata delle richieste e assenza di supervisione umana
Un ulteriore elemento critico riguarda la gestione delle richieste GDPR. Nel caso documentato, l’intera procedura risulta gestita tramite sistemi automatizzati, senza un interlocutore umano identificabile né un canale effettivo di revisione. Questo è rilevante ai sensi:
- dell’art. 12 GDPR (obbligo di facilitare l’esercizio dei diritti);
- dell’art. 25 GDPR (protezione dei dati by design e by default).
La standardizzazione automatica della risposta, in presenza di richieste complesse, produce un effetto di neutralizzazione del diritto.
Il nodo dell’art. 9 GDPR: categorie speciali di dati
La criticità nel mio caso aumenta quando la richiesta coinvolge categorie speciali di dati ai sensi dell’art. 9 GDPR. In tali casi il regolamento impone:
- una base giuridica rafforzata;
- limiti stringenti al trattamento;
- garanzie supplementari;
- tracciabilità e controllo umano effettivo.
La gestione automatizzata di richieste che possono implicare dati sensibili solleva interrogativi sulla compatibilità tra le pratiche adottate e gli obblighi sostanziali previsti dal GDPR. Non è necessario dimostrare un abuso: basta constatare l’impossibilità di verificare la liceità del trattamento.
Accesso ai dati Chatgpt, un problema di governance, non di tecnologia
Il problema non riguarda l’accuratezza dei modelli, ma la governance del trattamento dei dati e il rapporto tra infrastrutture private di AI e diritti fondamentali. Quando l’adempimento normativo viene ridotto a un flusso automatico, la compliance rischia di trasformarsi in un esercizio formale privo di funzione garantista.
La questione non è se l’AI “funzioni”, ma se il GDPR, così applicato, continui a funzionare ma sopratutto se OpenAI sia mai stata anche vagamente GDPR compliance con qualcuno o lo sarà mai.
Un pattern replicabile
Il valore del caso non è individuale, ma metodologico. Le stesse dinamiche, ossia risposte totalmente automatiche, assenza di logica del trattamento, mancanza di supervisione umana, opacità sostanziale, sono riscontrabili presso più operatori.
Questo suggerisce un pattern sistemico, non un’eccezione. Alla data di pubblicazione, la procedura risulta ancora aperta e oggetto di ulteriori valutazioni formali.
Il rischio oggi non è l’assenza di norme, ma la loro neutralizzazione attraverso procedure formalmente corrette e sostanzialmente inefficaci. Se il diritto di accesso non consente di comprendere e verificare il trattamento dei dati personali, il diritto esiste solo nominalmente. La trasparenza non è un file: è una funzione giuridica. E una funzione che non produce effetti non è più una garanzia.
